Les chercheurs de chez Rapid7, spécialisés dans la sécurité, viennent de publier un article qui montre que de très nombreuses imprimantes Brother sont touchées par des failles de sécurité. Certaines sont très importantes et une des failles ne peut même pas être corrigée chez les clients, nous allons le voir. Les huit failles touchent 689 modèles de chez Brother, de l'imprimante classique aux modèles multifonctions en passant par les imprimantes à étiquettes de la marque, populaires. Ils indiquent par ailleurs que 46 modèles Fujifilm, 5 imprimantes Ricoh, 2 appareils de chez Toshiba et 6 de chez Konica Minolta sont aussi touchés, ce qui monte le total à 748. Les marques en question utilisent a priori du matériel Brother sous licence, une méthode courante dans les imprimantes.
La faille CVE-2024-51979 permet un dépassement de tampon, qui peut amener une compromission du logiciel de l'imprimante, par exemple pour lui faire exécuter du code malveillant. La CVE-2024-51980, elle, permet à un malandrin de lancer des attaques sur le réseau local auquel est connectée l'imprimante, comme la CVE-2024-51981 (en simplifiant, dans les deux cas). La CVE-2024-51982 permet de planter l'imprimante, comme la CVE-2024-51983. Enfin, la CVE-2024-51984 permet à un attaquant authentifié d'obtenir un mot de passe enregistré pour un des services de l'imprimante (par exemple, celui d'un partage sur un NAS).
Une double faille impossible à corriger
La faille la plus dangereuse est la CVE-2024-51978. Elle permet à un attaquant de récupérer le mot de passe administrateur par défaut de l'imprimante. Si Brother a la bonne idée de ne plus employer le couple admin/admin ou un équivalent basique, la société a choisi de générer le mot de passe en fonction du numéro de série, avec un algorithme qui a été découvert. Cette faille ne peut pas être corrigée directement, et Brother a dû modifier la méthode dans ses usines. Pour les clients, la seule solution consiste à modifier le mot de passe de connexion (ce que certains ont probablement déjà fait). Elle est dangereuse car la 8e faille, la CVE-2024-51977, permet justement de récupérer le numéro de série sans être authentifié…
Brother a corrigé les failles
Si vous avez une imprimante Brother, la marque a communiqué sur les failles et propose des correctifs. La page de Rapid7 liste par ailleurs les liens vers les informations des autres fabricants touchés. Nous vous conseillons de changer le mot de passe administrateur de l'imprimante, en plus d'appliquer les éventuelles mises à jour. Les failles ont été découvertes en mai 2024, et la marque a commencé à corriger les failles après quelques mois. La date de divulgation a été fixée assez rapidement pour juin 2025, et les failles sont normalement comblées si vous avez du matériel à jour.
